acórdão tcu 465 2011 - anatel - avaliação de controles de ti

Anterior | Próximo

Pesquisa:

LivreEm Formulário

Quarta-feira, 25 de Maio de 2011.

Pesquisa número: 3Expressão de Pesquisa: "AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIA DA INFORMAÇÃO"Bases pesquisadas: Acórdãos; Decisões; Relações; AtasDocumento da base: AcórdãoDocumentos recuperados: 11Documento mostrado: 6Status na Coletânea: Não Selecionado Visualizar este documento no formato: Formato Padrão para Acórdãos

Status do Documento na Coletânea: [Não Selecionado] Coletânea

Voltar à lista de documentos

Identificação

Acórdão 465/2011 - Plenário

Número Interno do Documento

AC-0465-06/11-P

Grupo/Classe/Colegiado

GRUPO I / CLASSE V / Plenário

Processo

017.791/2010-3

Natureza

Relatório de Auditoria

Entidade

Entidade: Agência Nacional de Telecomunicações - Anatel

Interessados

Responsável: Ronaldo Sardenberg, presidente

Sumário

RELATÓRIO DE AUDITORIA. AVALIAÇÃO DE CONTROLES GERAIS DE TECNOLOGIADA INFORMAÇÃO. CONSTATAÇÃO DE IRREGULARIDADES, PRECARIEDADES E OPORTUNIDADESDE MELHORIA. DETERMINAÇÕES, RECOMENDAÇÕES E ALERTAS

Assunto

Relatório de Auditoria

Ministro Relator

AROLDO CEDRAZ

Representante do Ministério Público

não atuou

Unidade Técnica

1ª Secretaria de Controle Externo - Secex-1

Advogado Constituído nos Autos

TCU - Portal de Pesquisa Textual http://contas.tcu.gov.br/portaltextual/MostraDocumento?qn=3&doc=6&...

1 de 27 25/5/2011 13:08

não há

Relatório do Ministro Relator

A 1ª Secretaria de Controle Externo - Secex/1 realizou auditoria na AgênciaNacional de Telecomunicações - Anatel, no período de 26/7 a 27/8/2010, com o objetivo deavaliar controles gerais de tecnologia da informação - TI e verificar se estão de acordo com alegislação pertinente e com as boas práticas de governança de TI.

2. As ocorrências detectadas foram apresentadas pela equipe de auditoria nosseguintes termos (fls. 49/79):

"3 - ACHADOS DE AUDITORIA3.1 - Falhas no Plano Estratégico Institucional3.1.1 - Situação encontrada:Em resposta ao item 2.1 do questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que executa umprocesso periódico de planejamento institucional, embora este não esteja formalmenteinstituído (fls. 5 do Volume Principal).

Mediante o item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010,foram solicitadas informações acerca do planejamento estratégico da Anatel, assim comoevidências que comprovassem a resposta da Agência ao mencionado questionamento (fls. 14do Volume Principal).

Consta das evidências encaminhadas pelo Ofício nº 086/2010/AUD-Anatel, de16/7/2010 (fls. 5/39 do Anexo 1 - Principal), que o planejamento estratégico da Agência estátratado no Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil(PGR), aprovado mediante a Resolução nº 516, de 30 de outubro de 2008. No entanto, apósanálise de tal documento, acostado às fls. 2/17 do Anexo 4 - Principal, foram verificadas asseguintes falhas:

a) não foram tratados os pontos mencionados no critério 2 do Instrumento paraAvaliação da Gestão Pública - Gespública, tais como a definição do negócio, missão, visão eavaliação do ambiente interno. O primeiro parágrafo da introdução contém um breveentendimento sobre o ambiente externo do negócio institucional da Anatel;

b) há previsão apenas dos objetivos e iniciativas estratégicas associados à áreafinalística da Agência, principalmente no tocante ao seu papel regulamentador. As atividades desuporte à área finalística da Autarquia, tais como aquelas relacionadas à própria área de TI,não receberam tratamento estratégico de longo prazo, sendo inseridas somente em uma açãode curto prazo, denominada V.17 - Revisão dos procedimentos administrativos eorganizacionais da Anatel, no sentido de torná-los aderentes ao novo cenário convergente dastelecomunicações; e

c) não foram estabelecidos indicadores de desempenho, de acordo com osobjetivos estratégicos previstos no plano.

3.1.2 - Objetos nos quais o achado foi constatado:Planejamento estratégico institucional.3.1.3 - Efeitos/Conseqüências do achado:Risco de a instituição não conseguir atuar de forma eficiente no atingimento dos

seus objetivos finalísticos (efeito potencial).3.1.4 - Critérios:Constituição Federal, art. 37, caput;Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º;Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão

Pública - Ciclo 2010 - critério de avaliação 2.3.1.5 - Evidências:Resposta ao item 2.1 do questionário Perfil GovTI 2010 (Volume Principal - folha

5);Resposta ao item 1 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 -

Principal - folhas 5/39);Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil

(PGR) (Anexo 4 - Principal - folhas 2/17).3.1.6 - Esclarecimentos dos responsáveis:


2 de 27 25/5/2011 13:08

Durante a fiscalização, os gestores da Anatel apresentaram novas evidências,contendo a definição da missão institucional da entidade, bem como indicadores e metas paraavaliar a sua gestão. Adicionalmente, foi apresentado o Plano de Trabalho da Anatel para o anode 2010, no qual são reproduzidos os objetivos estratégicos da Agência relacionados no PGR,com a inclusão de dois novos objetivos estratégicos: 1) Promover a gestão organizacionalsegundo os princípios da qualidade, com vistas a atender às necessidades dos colaboradoresinternos, das prestadoras, fornecedores e especialmente dos usuários e consumidores dosserviços de telecomunicações, sempre voltada para a consecução de resultados e comaperfeiçoamento constante; e 2) Otimizar a fiscalização e o uso eficiente do espectro. Alémdisso, o referido plano demonstra a vinculação entre as ações de curto prazo (apenas para oano de 2010) e os objetivos nele definidos (Anexo 4 - Principal - folhas 18/66).

3.1.7 - Conclusão da equipe:Tendo em vista as evidências apresentadas e os esclarecimentos obtidos dos

gestores da Anatel, entende-se que a Agência possui um planejamento estratégico institucional,conforme demonstrado no Plano Geral de Atualização da Regulamentação dasTelecomunicações no Brasil (PGR) e no Plano de Trabalho da Anatel para o ano de 2010.Entretanto, deve-se destacar que o referido planejamento não é consolidado em um documentoúnico, com a definição dos objetivos estratégicos referentes às áreas finalísticas e de suporte daentidade, e com ferramentas que demonstrem a correlação entre tais objetivos e as ações decurto, médio e longo prazos necessárias ao seu atingimento.

3.1.8 - Proposta de encaminhamento:Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art.

37, caput (princípio da eficiência), e ao Decreto Lei nº 200/67, art. 6º, inciso I, e art. 7º,aperfeiçoe o Processo de Planejamento Estratégico Institucional, considerando o disposto nocritério de avaliação nº 2 da Gespública.

3.2 - Falhas no processo de Planejamento Estratégico Institucional3.2.1 - Situação encontrada:A Anatel declarou, em resposta ao item 2.1 do questionário Perfil GovTI 2010,

encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa umprocesso periódico de planejamento institucional, embora este não esteja formalmenteinstituído (fls. 5 do Volume Principal).

Posteriormente, foram solicitadas, mediante o item 1 do anexo I do Ofício nº607/2010-TCU/Secex/1, de 29/6/2010, informações relacionadas ao planejamento estratégicoda Anatel, assim como evidências que comprovassem a resposta da Agência ao mencionadoquestionamento (fls. 14 do Volume Principal).

Após análise das evidências apresentadas mediante o Ofício nº 086/2010/AUD-Anatel, de 16/7/2010 (fls. 5/39 do Anexo 1 - Principal), foi constatado que o Plano Geralde Atualização da Regulamentação das Telecomunicações no Brasil (PGR), acostado às fls. 2/17do Anexo 4 - Principal, não estabelece vinculação entre as ações e os objetivos/iniciativas nelerelacionados. Antes, tais ações estariam relacionadas a diretrizes instituídas pelo Ministério dasComunicações, mediante a Portaria nº 178, de 22 de abril de 2008. Além disso, emboratenham sido apresentados documentos que demonstram o acompanhamento das ações doPGR, não restou comprovada sua avaliação. Cabe salientar que, conforme o texto introdutóriodo documento, cuja aprovação ocorreu em outubro de 2008, essa revisão deve ocorrer a cadadois anos.

3.2.2 - Objetos nos quais o achado foi constatado:Planejamento estratégico institucional.3.2.3 - Efeitos/Conseqüências do achado:Risco de a instituição não conseguir atuar de forma eficiente no atingimento de

seus objetivos finalísticos (efeito potencial).3.2.4 - Critérios:Constituição Federal, art. 37, caput;Decreto Lei 200/1967, art. 6º, inciso I, e art. 7º;Norma Técnica - MPOG - Gespública - Instrumento para Avaliação da Gestão

Pública - Ciclo 2010 - critério de avaliação 2.3.2.5 - Evidências:Resposta ao item 2.1 do questionário Perfil GovTI 2010 (Volume Principal - folha


3 de 27 25/5/2011 13:08


Principal - folhas 5/39);Plano Geral de Atualização da Regulamentação das Telecomunicações no Brasil

(PGR) (Anexo 4 - Principal - folhas 2/17).3.2.6 - Esclarecimentos dos responsáveis:Os gestores da Anatel afirmaram, durante a fiscalização, que, tendo em vista a

necessidade de avaliação do PGR a cada dois anos, há previsão de que ela ocorra no primeirosemestre de 2011.

3.2.7 - Conclusão da equipe:Considerando as ocorrências verificadas, pode-se inferir que a Anatel possui um

processo de planejamento estratégico não instituído formalmente. Ademais, considerando queo prazo para a avaliação do PGR ainda está em curso, conforme definido no próprio documento,não foi possível verificar evidências de sua revisão. Apesar disso, faz-se necessário salientarque, embora os gestores da Agência tenham afirmado que tal avaliação ocorrerá no primeirosemestre de 2011, não há controles implementados por meio da definição de cronogramas etarefas processuais, necessários para o seu cumprimento.

Não obstante tais constatações, abstemo-nos de propor novas medidassaneadoras, tendo em vista que no item 3.1.8 deste relatório já foram propostasrecomendações que alcançam a presente ocorrência.

3.3 - Falhas no PDTI3.3.1 - Situação encontrada:A Anatel informou, em resposta ao item 2.2 do questionário Perfil GovTI 2010,

encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa umprocesso periódico de planejamento de TI, embora este não esteja formalmente instituído.Além disso, no tocante ao item 2.3, alegou que o seu Plano Diretor de TI (PDTI): 1) vincula asações de TI a indicadores e metas de negócio; 2) vincula os custos de TI a atividades e projetosde TI; e 3) não é publicado na internet para acesso livre (fls. 5 do Volume Principal).

Por meio do item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010,foram solicitadas informações a respeito do planejamento de TI da Anatel e evidências quecomprovassem a resposta da Agência ao questionário realizado (fls. 14 do Volume Principal).

Em resposta encaminhada por meio do Ofício nº 086/2010/AUD-Anatel, de16/7/2010, foram remetidas cópias do Plano de Trabalho de 2010 da Superintendência deAdministração Geral - SAD (fls. 40/50 do Anexo 1 - Principal) e do Plano Diretor de TI/2010 daAnatel (fls. 51/82-A do Anexo 1 - Principal). Mediante análise da documentação apresentada,foram constatadas as seguintes falhas:

a) o PDTI não prevê necessidades de informações alinhadas à estratégia daAnatel, tampouco plano de investimentos, gestão de riscos ou caracterização do ambienteexterno da área de TI (há apenas um breve esclarecimento quanto ao ambiente interno, notópico 3 do documento);

b) embora haja previsão de algumas contratações de serviços e aquisições deequipamentos, não há correlação entre tais iniciativas e os objetivos e iniciativas estratégicasda Anatel;

c) os objetivos de TI relacionados no tópico 4.2 do PDTI apresentam apenasdiretrizes genéricas, sem qualquer relação com as estratégias institucionais da Anatel; e

d) não há indicadores de desempenho, vinculados aos objetivos da área de TI,com vistas a avaliar a sua atuação.

3.3.2 - Objetos nos quais o achado foi constatado:Planejamento de TI.3.3.3 - Efeitos/Conseqüências do achado:Ações de TI não alinhadas ao negócio (efeito potencial).3.3.4 - Critérios:Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso III;Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI.3.3.5 - Evidências:Resposta aos itens 2.2 e 2.3 do questionário Perfil GovTI 2010 (Volume Principal -

folha 5);


4 de 27 25/5/2011 13:08

Resposta ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 -Principal - folhas 40/98).

3.3.6 - Esclarecimentos dos responsáveis:Os gestores da Anatel confirmaram as conclusões preliminares, obtidas mediante

análise da resposta da Agência ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de29/6/2010.

3.3.7 - Conclusão da equipe:Diante das evidências obtidas, entende-se que a Agência possui planejamento de

TI, conforme demonstrado em seu Plano Diretor de TI para o ano de 2010. No entanto, asdisposições contidas na Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso III, e emmanuais de boas práticas não foram cumpridas, como se pode constatar pela falta de objetivosbem definidos da área de TI, assim como pela inexistência de plano de investimentos, gestãode riscos e indicadores de desempenho.

3.3.8 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à

Anatel que, em atenção às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I, e naInstrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, aperfeiçoe o processo de PlanejamentoEstratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação - PDTI estejaem conformidade com as diretrizes constantes na Instrução Normativa nº 04/2008-SLTI/MPOG,art. 4º, III, e as práticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI.

3.4 - Falhas no processo de planejamento de TI3.4.1 - Situação encontrada:A Anatel informou, em resposta ao item 2.2 do questionário Perfil GovTI 2010,

encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que executa umprocesso periódico de planejamento de TI, embora este não esteja formalmente instituído (fls.5 do Volume Principal).

Por meio do item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010,foram solicitadas informações a respeito do planejamento de TI da Anatel, e evidências quecomprovassem a resposta da Agência ao questionário realizado (fls. 14 do Volume Principal).

Após a análise das evidências encaminhadas mediante o Ofício nº 086/2010/AUD-Anatel, de 16/7/2010 (fls. 40/98 do Anexo 1 - Principal), foram verificadas as seguintesimpropriedades:

a) o PDTI foi elaborado apenas pela área de TI e aprovado por instânciassuperiores da Anatel;

b) as ações constantes do PDTI não foram desdobradas em curto e médio prazos.O Plano de Trabalho da Superintendência de Administração Geral (SAD) apresenta apenas asações de curto prazo, para o ano de 2010, vinculadas aos objetivos estratégicos da Anatel neledefinidos; e

c) não há informações quanto à avaliação do plano, muito embora a sua vigênciaseja anual.

3.4.2 - Objetos nos quais o achado foi constatado:Planejamento de TI.3.4.3 - Efeitos/Conseqüências do achado:Risco de as ações de TI não estarem alinhadas ao negócio (efeito potencial).3.4.4 - Critérios:Norma Técnica - ITGI - Cobit 4.1, PO1 - Planejamento Estratégico de TI.3.4.5 - Evidências:Resposta ao item 2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 -

Principal - folhas 40/98);Resposta ao item 2.2 do questionário Perfil GovTI 2010 (Volume Principal - folha

5).3.4.6 - Esclarecimentos dos responsáveis:Os gestores da Anatel afirmaram, durante a fiscalização, que a avaliação do PDTI

seria realizada ainda no ano de 2010.3.4.7 - Conclusão da equipe:Diante das evidências apresentadas, entende-se que a Anatel possui um processo

de planejamento de TI informal, que não é realizado em estrito cumprimento às boas práticas,


5 de 27 25/5/2011 13:08

visto que elaborado apenas no âmbito da própria área de TI. Ademais, considerando que o anode 2010 foi o primeiro exercício em que a Agência realizou, formalmente, um planejamento deTI, não foi identificada qualquer avaliação do PDTI. Apesar disso, cumpre ressaltar que, emboratal revisão ainda estivesse prevista para aquele ano, não há controles implementados, pormeio da definição de cronogramas e tarefas processuais, necessários para assegurar o seucumprimento.

3.4.8 - Proposta de encaminhamento:Recomendar à Anatel que, em atenção ao princípio constitucional da eficiência,

aperfeiçoe o processo de Planejamento Estratégico de TI, observando as práticas contidas noCobit 4.1, processo PO1 - Planejamento Estratégico de TI.

3.5 - Inexistência de comitê de TI3.5.1 - Situação encontrada:A Anatel declarou, em resposta ao item 1.1 do questionário Perfil GovTI 2010,

encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que a sua AltaAdministração: 1) designou um Comitê de TI para auxiliá-la nas decisões relativas à gestão eao uso corporativo de TI; 2) designou representantes de todas as áreas relevantes para onegócio institucional para compor o Comitê de TI; e 3) monitora regularmente o funcionamentodo Comitê de TI (fls. 4 do Volume Principal).

Por meio do item 3 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010,foram solicitadas informações quanto à organização e aos relacionamentos da área de TI daAnatel, bem como evidências que comprovassem as respostas da Agência ao questionamentosupra (fls. 14/15 do Volume Principal).

No entanto, a documentação apresentada por meio do Ofício nº 086/2010/AUD-Anatel, de 16/7/2010, não demonstra a criação de um comitê, apenas a intenção de suainstauração (fls. 99/123 do Anexo 1 - Principal), o que indica desconformidade entre asrespostas assinaladas pela Anatel aos itens 1.1 e 2.4 do Questionário Perfil GovTI 2010.

3.5.2 - Objetos nos quais o achado foi constatado:Organização e relacionamentos da área de TI.3.5.3 - Efeitos/Conseqüências do achado:Sobreposição de ações de TI por parte das áreas de negócio que integrariam o

comitê de TI (efeito potencial);Priorização inadequada das ações de TI devido à ausência da participação das

áreas de negócio da instituição (efeito potencial).3.5.4 - Critérios:Constituição Federal, art. 37, caput;Instrução Normativa 4/2008, SLTI/MPOG, art. 4º, inciso IV;Norma Técnica - ITGI - Cobit 4.1, PO4.3 - Comitê diretor de TI;Norma Técnica - ITGI - Cobit 4.1, PO4.2 - Comitê estratégico de TI.3.5.5 - Evidências:Resposta ao item 3 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 -

Principal - folhas 99/123);Resposta ao item 1.1 do questionário Perfil GovTI 2010 (Volume Principal - folha

4).3.5.6 - Esclarecimentos dos responsáveis:Os gestores da Anatel informaram, durante a fiscalização, que assinalaram

equivocadamente o questionário realizado, visto que a instauração do Comitê de TI da Agênciaainda está em andamento.

3.5.7 - Conclusão da equipe:Pelas evidências apresentadas, confirmadas pelos gestores da Anatel, entende-se

que não há Comitê de TI implantado na Agência.3.5.8 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à

Anatel que, em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 4º,IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Agência eque se responsabilize por alinhar os investimentos de Tecnologia da Informação com osobjetivos institucionais e por apoiar a priorização de projetos a serem implantados,considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 -


6 de 27 25/5/2011 13:08

Comitê diretor de TI.3.6 - Falhas na avaliação do quadro de pessoal de TI3.6.1 - Situação encontrada:Com relação à organização e aos relacionamentos da área de TI da Anatel, foi

solicitado à Agência, mediante o item 3.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de29/6/2010, que informasse se a estrutura de recursos humanos do seu setor de informática(quantitativo e qualificação dos servidores) é suficiente para o desempenho das atribuições daárea e para o atendimento das necessidades da entidade, anexando estudos que embasem talinformação (fls. 15 do Volume Principal).

Como evidência, foi encaminhado pela Autarquia, por intermédio do Ofício nº086/2010/AUD-Anatel, de 16/7/2010, um levantamento quantitativo acerca da adequabilidadeda estrutura de recursos humanos da área de TI da Anatel (fls. 123 do Anexo 1 - Principal).Entretanto, tal estudo não apresenta memória de cálculo ou qualquer fundamentação com o fitode demonstrar como se chegou ao número apresentado. Ademais, não há informação quantoao perfil dos profissionais necessários para atender às demandas da área de TI da Agência.

3.6.2 - Objetos nos quais o achado foi constatado:Organização e relacionamentos da área de TI.3.6.3 - Efeitos/Conseqüências do achado:Dependência do serviço de empresas terceirizadas (efeito potencial);Recursos humanos de TI insuficientes para atender às necessidades do negócio

(efeito potencial);Falta de competências apropriadas na área de TI (efeito potencial).3.6.4 - Critérios:ACÓRDÃO 71/2007, item 9.2.23, Tribunal de Contas da União, Plenário;Decreto 5707/2006, art. 1º, inciso III;Norma Técnica - ITGI - Cobit 4.1, PO4.12 - Pessoal de TI.3.6.5 - Evidências:Resposta ao item 3.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 -

Principal - folha 123).3.6.6 - Esclarecimentos dos responsáveis:Durante a fiscalização, os gestores da Anatel apresentaram nova evidência,

contendo a memória de cálculo do levantamento apresentado em resposta ao item 3 do anexoI do Ofício nº 607/2010-TCU/Secex/1. Alegaram que a metodologia utilizada em tal estudo foi aestimativa, por parte da própria área de TI, da força de trabalho necessária para a conclusãode produtos associados a cada processo realizado naquele setor, com vistas a evidenciar o graude adequabilidade da estrutura de recursos humanos de TI (Anexo 4 - Principal - folhas 67/70).

3.6.7 - Conclusão da equipe:Diante das evidências apresentadas e dos esclarecimentos obtidos, pode-se

concluir que a Anatel realizou estudo quantitativo de adequabilidade da estrutura de recursoshumanos da área de TI, o qual demonstra haver alto grau de dependência de empresasterceirizadas na Agência, visto que há apenas 32 servidores e 167 profissionais terceirizadosalocados na área de TI. Ademais, não consta informação quanto ao perfil dos profissionaisnecessários para suprir as demandas da área de TI da entidade.


37, caput (princípio da eficiência), e no Decreto nº 5.707/2006, art. 1º, inciso III, aperfeiçoe oestudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas afundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivosdevidamente qualificados, objetivando o melhor atendimento das necessidades institucionais,observando as práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI.

3.7 - Falhas no processo de software3.7.1 - Situação encontrada:Em resposta ao item 7.3 do questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que possui umprocesso de software em nível de capacidade/maturidade gerenciado, o qual, segundo osconceitos extraídos da ABNT NBR ISO/IEC 15.504, é caracterizado quando há um processoinformal repetido várias vezes, com a implementação de conceitos de qualidade de processo


7 de 27 25/5/2011 13:08

(fls. 7 do Volume Principal).Com a finalidade de comprovar a resposta da Agência a tal questionamento e para

obter informações com relação ao seu processo de desenvolvimento de software, foi realizada arequisição constante do item 5 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010(fls. 15 do Volume Principal).

Mediante análise das evidências apresentadas pelo Ofício nº 086/2010/AUD-Anatel, de 16/7/2010 (fls. 138/200 do Anexo 1 - Principal), pode-se confirmar a respostaapresentada, haja vista que o processo de software utilizado na Anatel possui os elementosessenciais definidos para esta auditoria, embora ainda não tenha sido aprovado e publicado.

3.7.2 - Objetos nos quais o achado foi constatado:Processo de desenvolvimento de software.3.7.3 - Efeitos/Conseqüências do achado:Inexistência de parâmetros formais de aferição de qualidade para contratação de

desenvolvimento de sistemas;Deficiência no processo de contratação, decorrente da inexistência de metodologia

que assegure boa contratação de desenvolvimento de sistemas (efeito potencial).3.7.4 - Critérios:Instrução Normativa 4/2008, SLTI/MPOG, art. 12, inciso II;Lei 8666/1993, art. 6º, inciso IX;Norma Técnica - ITGI - Cobit 4.1, PO8.3 - Padrões de desenvolvimento e de

aquisições.3.7.5 - Evidências:Resposta ao item 7.3 do questionário Perfil GovTI 2010 (Volume Principal - folha


Principal - folhas 138/200).3.7.6 - Esclarecimentos dos responsáveis:Os gestores da Anatel confirmaram as evidências apresentadas e informaram que

a aprovação e publicação do processo de software da Agência já está prevista.3.7.7 - Conclusão da equipe:Diante das evidências apresentadas, restou demonstrado que a Anatel possui um

nível de capacidade/maturidade de processo de desenvolvimento de software gerenciado, vezque, embora este possua os elementos essenciais definidos na matriz de planejamento destafiscalização, ainda carece de aprovação e publicação, com vistas a assegurar a aderência dasrotinas de trabalho da área de TI da Agência ao processo por ela definido.

3.7.8 - Proposta de encaminhamento:Recomendar à Anatel que, em observância aos níveis de capacidade/maturidade

definidos na ABNT NBR ISO/IEC 15.504, aprove e publique o seu processo de desenvolvimentode software, com vistas a assegurar a aderência das rotinas de trabalho da área de TI aoprocesso definido pela própria Agência.

3.8 - Inexistência de processo de gerenciamento de projetos3.8.1 - Situação encontrada:A Anatel declarou, em resposta ao item 7.4 do questionário Perfil GovTI 2010,

encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que pratica ogerenciamento de projetos, mas não adota qualquer padrão interno ou de mercado (fls. 7 doVolume Principal).

Mediante o item 6 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010,solicitaram-se informações quanto ao processo de gerenciamento de projetos, bem comoevidências que comprovassem a resposta da Agência ao questionário realizado (fls. 15 doVolume Principal).

Em sua resposta, encaminhada pelo Ofício nº 086/2010/AUD-Anatel, de16/7/2010, a Agência apresentou cópia de uma tela do SCOP (Sistema de Controle de Projetosda Anatel), com a função de acompanhamento de projetos (fls. 201/202 do Anexo 1 - Principal).

3.8.2 - Objetos nos quais o achado foi constatado:Processo de gerenciamento de projetos de TI.3.8.3 - Efeitos/Conseqüências do achado:Risco de insucesso de projetos relevantes, pela falta de estrutura de gestão de


8 de 27 25/5/2011 13:08

projetos (efeito potencial).3.8.4 - Critérios:Norma Técnica - ITGI - Cobit 4.1, PO10.2 - Estrutura de gerência de projetos.3.8.5 -Evidências:Resposta ao item 7.4 do questionário Perfil GovTI 2010 (Volume Principal - folha


Principal - folhas 201/202).3.8.6 - Esclarecimentos dos responsáveis:Durante a fiscalização, os gestores da Anatel confirmaram que a única tarefa

executada, no tocante ao processo de gerenciamento de projetos, é o acompanhamentomediante o Sistema SCOP.

3.8.7 - Conclusão da equipe:Tendo em vista as evidências apresentadas, entende-se que, embora a Anatel

realize um acompanhamento de projetos por meio do Sistema SCOP, não há um processo degerenciamento de projetos instaurado sob os preceitos do Cobit 4.1.


37, caput (princípio da eficiência), implante uma estrutura formal de gerência de projetos,observando as orientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência deProjetos, e no PMBOK, dentre outras boas práticas de mercado.

3.9 - Inexistência do processo de gestão de incidentes3.9.1 - Situação encontrada:Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantoucorporativamente o processo de gestão de incidentes, previsto entre os processos de gestão deserviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3 (fls.8 do Volume Principal).

Posteriormente, foram solicitadas, por meio do item 7 do anexo I do Ofício nº607/2010-TCU/Secex/1, de 29/6/2010, informações com relação ao processo de gestão deserviços de TI da Anatel, bem como evidências que comprovassem a resposta assinalada aoquestionário realizado (fls. 15/16 do Volume Principal). No entanto, tendo em vista a respostada Agência ao questionário, não foi apresentada qualquer documentação.

3.9.2 - Objetos nos quais o achado foi constatado:Processo de gestão de serviços de TI.3.9.3 - Efeitos/Conseqüências do achado:Ocorrência de incidentes sem o devido gerenciamento (efeito potencial);Paralisação dos serviços de TI (efeito potencial);Paralisação das atividades da organização (efeito potencial).3.9.4 - Critérios:Constituição Federal, art. 37, caput;Norma Técnica - ITGI - Cobit 4.1, DS8 - Gerenciar a Central de Serviço e os

Incidentes;Norma Técnica - NBR - ISO/IEC 27002, item 13 - Gestão de incidentes de

segurança da informação;Norma Técnica - NBR - ISO/IEC 20000, item 8.2 - Gerenciamento de incidentes.3.9.5 - Evidências:Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha

8).3.9.6 - Esclarecimentos dos responsáveis:Durante a fiscalização, os gestores da Anatel apresentaram dois relatórios de

consultoria realizada pelo Serviço Federal de Processamento de Dados (SERPRO), entre osmeses de dezembro de 2008 e maio de 2009, contendo a avaliação do nível de maturidade daAgência com relação a processos de gerenciamento de serviços de TI, com vistas à adequaçãode tais processos às melhores práticas preconizadas pela biblioteca ITIL, versão 2, bem comouma proposta de melhoria da sua central de serviços (Anexo 4 - Principal - folhas 71/112).

3.9.7 - Conclusão da equipe:


9 de 27 25/5/2011 13:08

Embora a Agência atenda aos pré-requisitos mínimos para a execução do processoe demonstre intenção de aperfeiçoar seu gerenciamento, os elementos obtidos durante afiscalização informam que o seu nível de maturidade, com base no modelo proposto pela ITService Management Forum - United Kingdom (itSMF/UK), ainda está distante do desejável.Desse modo, entende-se que a Anatel não possui ainda processo de gestão de incidentes,conforme preconizado nos critérios utilizados.


37, caput (princípio da eficiência), implemente processo de gestão de incidentes de serviços detecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 -Gerenciar a central de serviços e incidentes, e de outras boas práticas de mercado (como asmencionadas na NBR ISO/IEC 20000 e na NBR 27002).

3.10 - Inexistência do processo de gestão de mudanças3.10.1 - Situação encontrada:Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantoucorporativamente o processo de gestão de mudanças, previsto entre os processos de gestão deserviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3 (fls.8 do Volume Principal).

Por meio do item 7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010,foram solicitadas informações acerca do processo de gestão de serviços de TI da Anatel, bemcomo evidências que comprovassem a resposta assinalada ao questionário realizado (fls. 15/16do Volume Principal). No entanto, tendo em vista a resposta da Agência ao referidoquestionário, não foi apresentada qualquer documentação.

3.10.2 - Objetos nos quais o achado foi constatado:Processo de gestão de serviços de TI.3.10.3 - Efeitos/Conseqüências do achado:Não avaliação do impacto de eventuais mudanças (efeito potencial);Solicitações de mudanças não controladas (efeito potencial).3.10.4 - Critérios:Constituição Federal, art. 37, caput;Norma Técnica - ITGI - Cobit 4.1, AI6 - Gerenciar mudanças;Norma Técnica - NBR - ISO/IEC 27002, 12.5.1 - Procedimentos para controle de

mudanças.3.10.5 - Evidências:Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha

8).3.10.6 - Esclarecimentos dos responsáveis:À exceção dos relatórios mencionados no item 3.9.6 deste Relatório, não foram

apresentados outros documentos.3.10.7 - Conclusão da equipe:Diante das evidências obtidas, conclui-se que a Anatel não possui processo de

gestão de mudanças, conforme preconizam os critérios utilizados nesta auditoria, o quecorrobora o entendimento de que o seu nível de maturidade, com base no modelo propostopela IT Service Management Forum - United Kingdom (itSMF/UK), ainda está distante dodesejável.


37, caput (princípio da eficiência), estabeleça procedimentos formais de gestão de mudanças,de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança dasorientações contidas no Cobit 4.1, processo AI6 - Gerenciar mudanças, e de outras boaspráticas de mercado (como as mencionadas na NBR ISO/IEC 20000).

3.11 - Inexistência do processo de gestão de configuração3.11.1 - Situação encontrada:Em resposta ao item 7.6 do questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel alegou que não implantoucorporativamente o processo de gestão de configuração, previsto entre os processos de gestão


10 de 27 25/5/2011 13:08

de serviços de TI da biblioteca ITIL (Information Technology Infraestructure Library), versão 3(fls. 8 do Volume Principal).

Posteriormente, por intermédio do item 7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010, foram solicitadas informações a respeito do processo de gestão deserviços de TI da Anatel, bem como evidências que comprovassem a resposta assinalada aoquestionário realizado (fls. 15/16 do Volume Principal). No entanto, tendo em vista a respostada Agência ao questionário, não foi apresentada qualquer documentação.

3.11.2 - Objetos nos quais o achado foi constatado:Processo de gestão de serviços de TI.3.11.3 - Efeitos/Conseqüências do achado:Desatualização ou deficiência da configuração de TI (efeito potencial).3.11.4 - Critérios:Constituição Federal, art. 37, caput;Norma Técnica - ITGI - Cobit 4.1, DS9 - Gerenciar Configurações;Norma Técnica - NBR - ISO/IEC 20000, item 9.1 - Gerenciamento de configuração.3.11.5 - Evidências:Resposta ao item 7.6 do questionário Perfil GovTI 2010 (Volume Principal - folha

8).3.11.6 - Esclarecimentos dos responsáveis:À exceção dos relatórios mencionados no item 3.9.6 deste Relatório, não foram

apresentados outros documentos.3.11.7 - Conclusão da equipe:Diante dos documentos apresentados, conclui-se que a Anatel não possui processo

de gestão de configuração, conforme definido nos critérios utilizados nesta auditoria.3.11.8 - Proposta de encaminhamento:Recomendar à Anatel que, em atenção ao disposto na Constituição Federal, art.

37, caput (princípio da eficiência), implemente processo de gestão de configuração de serviçosde tecnologia da informação, à semelhança das orientações contidas no Cobit 4.1, processo DS9- Gerenciar configuração, e de outras boas práticas de mercado (como as indicadas na NBRISO/IEC 20000).

3.12 - Inexistência de Política de Segurança da Informação e Comunicações(POSIC)

3.12.1 - Situação encontrada:A Anatel declarou que não formalizou a sua política corporativa de segurança da

informação, tratada no item 7.2 do questionário Perfil GovTI 2010, encaminhado mediante oOfício nº 171/2010-TCU/Sefti, de 15/4/2010 (fls. 7 do Volume Principal).

Por meio do item 8 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de 29/6/2010,foram solicitadas informações relacionadas ao processo de gestão da segurança da informaçãoda Anatel, assim como evidências que comprovassem a resposta da Agência ao questionáriorealizado (fls. 16/17 do Volume Principal).

Pela análise das evidências apresentadas mediante o Ofício nº 086/2010/AUD-Anatel, de 16/7/2010 (fls. 204/206 do Anexo 1 - Principal), verificou-se que, em30/4/2010, foi realizada a primeira reunião da Comissão de Segurança da Informação da Anatel(CSI), a qual foi instituída em 7/1/2010. De acordo com a Ata da referida reunião, o primeiroassunto a ser tratado pela dita comissão seria a elaboração da POSIC da Agência.

3.12.2 - Objetos nos quais o achado foi constatado:Processos corporativos de segurança da informação.3.12.3 - Efeitos/Conseqüências do achado:Falhas nos procedimentos de segurança (efeito potencial).3.12.4 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VII;Norma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 03/IN01/DSIC/GSIPR;Norma Técnica - NBR - ISO/IEC 27002, item 5.1 - Política de segurança da

informação.3.12.5 - Evidências:


11 de 27 25/5/2011 13:08

Resposta ao item 7.2 do questionário Perfil GovTI 2010 (Volume Principal - folha7);

Resposta ao item 8 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 -Principal - folhas 204/206).

3.12.6 - Esclarecimentos dos responsáveis:Foi confirmado, pelos gestores da Anatel, que a POSIC da Agência ainda está em

processo de elaboração, conforme demonstrado nos registros de reuniões realizadas pela CSI(Anexo 4 - Principal - folhas 113/123).

3.12.7 - Conclusão da equipe:Diante das evidências apresentadas, verifica-se que a Anatel ainda não possui

uma POSIC formalizada.3.12.8 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à

Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII,implante Política de Segurança da Informação e Comunicações, observando as práticas contidasna Norma Complementar 03/IN01/DSIC/GSIPR.

3.13 - Inexistência de classificação da informação3.13.1 - Situação encontrada:Em resposta ao item 7.1 do questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que nãoimplementou formalmente o processo de classificação da informação para o negócio (fls. 7 doVolume Principal).

Por meio dos itens 8.4 e 8.6 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de29/6/2010 (fls. 16 do Volume Principal), foram solicitadas evidências que comprovassem asrespostas da Agência ao questionamento supra. No entanto, tendo em vista a resposta daAutarquia ao questionário, não foi apresentada qualquer documentação.

3.13.2 - Objetos nos quais o achado foi constatado:Processos corporativos de segurança da informação.3.13.3 - Efeitos/Conseqüências do achado:Risco de divulgação indevida de informação restrita (efeito potencial).3.13.4 - Critérios:ACÓRDÃO 2023/2005, item 9.1.4, Tribunal de Contas da União, Plenário;Decreto 4553/2002, art. 6º, § 2º, inciso I, art. 6º, § 2º, inciso II, e art. 67;Norma Técnica - NBR - ISO/IEC 27002, item 7.2 - Classificação da informação.3.13.5 - Evidências:Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha

7).3.13.6 - Esclarecimentos dos responsáveis:Embora não tenham apresentado evidências, os gestores da Anatel afirmaram que

as informações sob responsabilidade da Agência são classificadas, de forma automática, nossistemas por ela utilizados, conforme as diretrizes instituídas no art. 64 do Regulamento daAnatel, aprovado pelo Decreto nº 2.338/97.

3.13.7 - Conclusão da equipe:Considerando que o art. 64 do Regulamento da Anatel institui apenas diretrizes

para a classificação das informações sob responsabilidade da Agência, entende-se que não háformalização de critérios que relacionem os tipos de informação aos respectivos graus de sigilo.


Anatel que, em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II, e art. 67,crie critérios de classificação das informações a fim de que possam ter tratamento diferenciadoconforme seu grau de importância, criticidade e sensibilidade, observando as práticas contidasno item 7.2 da NBR ISO/IEC 27.002.

3.14 - Inexistência de inventário dos ativos de informação3.14.1 - Situação encontrada:Em resposta ao item 7.1 do questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que nãoimplementou formalmente um inventário de ativos da informação sob sua responsabilidade (fls.


12 de 27 25/5/2011 13:08

7 do Volume Principal).Por meio dos itens 8.4 e 8.5 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de

29/6/2010 (fls. 16 do Volume Principal), foram solicitadas evidências que comprovassem asrespostas da Agência ao questionamento supra. No entanto, tendo em vista a resposta daAutarquia ao questionário, não foi apresentada qualquer documentação.

3.14.2 - Objetos nos quais o achado foi constatado:Processos corporativos de segurança da informação.3.14.3 - Efeitos/Conseqüências do achado:Dificuldade de recuperação de ativo de informação (efeito potencial).3.14.4 - Critérios:Norma Técnica - NBR - ISO/IEC 27002, item 7.1.1 - inventário de ativos;Norma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1;Resolução 90/2009, CNJ, art. 9º, § 2º3.14.5 - Evidências:Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha

7).3.14.6 - Conclusão da equipe:Tendo em vista a resposta da Agência ao questionário Perfil GovTI 2010,

corroborada por informações coletadas durante a fiscalização, verifica-se que a Anatel nãopossui um inventário de ativos de informação, contendo sua base de dados e arquivos,contratos e acordos, documentação de sistemas, informações sobre pesquisa, manuais deusuário, material de treinamento, procedimentos de suporte ou operação, planos decontinuidade do negocio, procedimentos de recuperação, trilhas de auditoria e informaçõesarmazenadas, conforme definido no item 7.1.1 da Norma Técnica - NBR - ISO/IEC 27002.


Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII,c/c a Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento deinventário de ativos de informação, de maneira que todos os ativos de informação sejaminventariados e tenham um proprietário responsável, observando as práticas contidas no item7.1 da NBR ISO/IEC 27.002.

3.15 - Inexistência de equipe de tratamento e resposta a incidentes em redescomputacionais (ETRI)

3.15.1 - Situação encontrada:Em resposta ao item 7.1 do Questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que nãoimplementou formalmente o gerenciamento dos incidentes de segurança da informação (fls. 7do Volume Principal).

Por meio do item 8.8 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de29/6/2010 (fls. 17 do Volume Principal), foram solicitadas evidências que comprovassem aresposta assinalada ao questionário realizado. No entanto, tendo em vista a resposta daAgência ao questionário, não foi apresentada qualquer documentação.

3.15.2 - Objetos nos quais o achado foi constatado:Processos corporativos de segurança da informação.3.15.3 - Efeitos/Conseqüências do achado:Falhas relativas às notificações e às atividades relacionadas a incidentes de

segurança em redes de computadores (efeito potencial).3.15.4 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso V;Norma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 05/IN01/DSIC/GSIPR.3.15.5 - Evidências:Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha

7).3.15.6 - Esclarecimentos dos responsáveis:


13 de 27 25/5/2011 13:08

A inexistência de ETRI foi confirmada pelos gestores da Anatel, durante afiscalização.

3.15.7 - Conclusão da equipe:Tendo em vista a resposta da Anatel ao questionário Perfil GovTI 2010 e a

confirmação de tal informação durante a execução desta auditoria, conclui-se que a Agêncianão possui uma ETRI.


Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V,institua equipe de tratamento e resposta a incidentes em redes computacionais, observando aspráticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR.

3.16 - Inexistência de processo de gestão de riscos de segurança da informação(GRSIC)

3.16.1 - Situação encontrada:A Anatel declarou, em resposta ao item 7.1 do questionário Perfil GovTI 2010,

encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que não implementouformalmente o processo de análise dos riscos aos quais a informação crítica para o negócio estásubmetida, considerando, pelo menos, confidencialidade, integridade e disponiblidade (fls. 7 doVolume Principal).

Por intermédio do item 8.7 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de29/6/2010 (fls. 16/17 do Volume Principal), foram solicitadas evidências que comprovassem aresposta assinalada ao questionário realizado. No entanto, tendo em vista a resposta daAgência ao questionário, não foi apresentada qualquer documentação.

3.16.2 - Objetos nos quais o achado foi constatado:Processos corporativos de segurança da informação.3.16.3 - Efeitos/Conseqüências do achado:Desconhecimento das ameaças e respectivos impactos relacionados à segurança

da informação (efeito potencial).3.16.4 - Critérios:Instrução Normativa 1/2008, Gabinete de Segurança Institucional - Presidência da

República, art. 5º, inciso VII;Norma Técnica - Gabinete de Segurança Institucional - Presidência da República -

Norma Complementar 04/IN01/DSIC/GSIPR;Norma Técnica - ITGI - Cobit 4.1, PO9.4 - Avaliação de riscos;Norma Técnica - NBR - 27005 - Gestão de riscos de segurança da informação.3.16.5 - Evidências:Resposta ao item 7.1 do questionário Perfil GovTI 2010 (Volume Principal - folha

7).3.16.6 - Esclarecimentos dos responsáveis:Os gestores da Anatel confirmaram, durante a fiscalização, que a Agência não

executa um GRSIC.3.16.7 - Conclusão da equipe:Diante das ocorrências verificadas, pode-se concluir que a Anatel não

implementou formalmente e não executa um GRSIC.3.16.8 - Proposta de encaminhamento:Determinar, com fulcro na Lei nº 8.443, de 16 de julho de 1992, art. 43, I, à

Anatel que, em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII,c/c a Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos desegurança da informação.

3.17 - Ausência da área de gestão TI no plano anual de capacitação3.17.1 - Situação encontrada:Em resposta ao item 6.3 do questionário Perfil GovTI 2010, encaminhado

mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, a Anatel declarou que elabora eexecuta um plano de capacitação para atender às necessidades de capacitação em gestão de TI(fls. 7 do Volume Principal).

Por meio do item 9.2 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de29/6/2010, foram solicitadas evidências que comprovassem a resposta da Agência a tal


14 de 27 25/5/2011 13:08

questionamento (fls. 17 do Volume Principal).Na documentação encaminhada, consta cópia do Plano Anual de Capacitação da

Anatel 2010, bem como planilha avulsa, contendo o quantitativo de servidores por capacitaçãoprevista (fls. 207/250 do Anexo 1 - Volume 1). Após análise de tais informações, verificou-seque, embora estejam previstas capacitações voltadas para a área de gestão de TI, tais eventosnão foram contemplados efetivamente no plano de capacitação.

3.17.2 - Objetos nos quais o achado foi constatado:Capacitação de profissionais de TI.3.17.3 - Efeitos/Conseqüências do achado:Desatualização do quadro de pessoal da área de tecnologia da informação (efeito

potencial).3.17.4 - Critérios:Decreto 5707/2006, art. 5º, § 2º;Norma Técnica - ITGI - Cobit 4.1, PO7.2-Competências Pessoais;Norma Técnica - ITGI - Cobit 4.1, PO7.4 - Treinamento do Pessoal;Resolução 90/2009, CNJ, art. 3º3.17.5 - Evidências:Resposta ao item 6.3 do questionário Perfil GovTI 2010 (Volume Principal - folha

7);Resposta ao item 9.2 do anexo I do Ofício nº 607/2010-TCU/Secex/1 (Anexo 1 -

Volume 1 - folhas 207/250).3.17.6 - Esclarecimentos dos responsáveis:Os gestores da Anatel informaram, durante a fiscalização, que os cursos e eventos

envolvendo gestão de TI foram previstos fora do plano anual de capacitação, em virtude dapouca demanda por tais conhecimentos, e apresentaram, ainda, nova documentação referenteà capacitação dos gestores de TI (Anexo 4 - Principal - folhas 124/128).

3.17.7 - Conclusão da equipe:Diante das evidências apresentadas pela Anatel, verificou-se que a Agência envida

esforços para a capacitação de seus servidores da área de TI. No entanto, os cursos e eventosprevistos não foram devidamente formalizados no Plano Anual de Capacitação 2010.


37, caput (princípio da eficiência), quando elaborar o próximo Plano Anual de Capacitação,contemple ações de capacitação voltadas para a gestão de tecnologia da informação,observando as práticas contidas no Cobit 4.1, processos PO7.2 - Competências Pessoais ePO7.4 - Treinamento do Pessoal.

3.18 - Ausência de avaliação da gestão de TI3.18.1 - Situação encontrada:Foi declarado pela Anatel, em resposta ao item 1.2 do questionário Perfil GovTI

2010, encaminhado mediante o Ofício nº 171/2010-TCU/Sefti, de 15/4/2010, que a sua AltaAdministração: 1) estabeleceu objetivos (diretrizes) de desempenho de gestão e de usocorporativos de TI; 2) estabeleceu indicadores de desempenho de gestão e de uso corporativosde TI; 3) não recebe e avalia regularmente informações sobre o desempenho relativo à gestãoe ao uso corporativos de TI; e 4) não acompanha os indicadores de benefício dos principaissistemas de informação e não toma decisões a respeito quando as metas de benefício não sãoatingidas (fls. 4 do Volume Principal).

Por meio do item 10 do anexo I do Ofício nº 607/2010-TCU/Secex/1, de29/6/2010, foram solicitadas informações sobre o processo de monitoração do desempenho nagestão e uso da TI, bem como evidências que comprovassem a resposta ao questionamentosupra (fls. 17 do Volume Principal). Todavia, a Anatel não apresentou resposta versando sobre oassunto.

3.18.2 - Objetos nos quais o achado foi constatado:Monitoração do desempenho da gestão e uso de TI.3.18.3 - Efeitos/Conseqüências do achado:Perda de importante instância de controle do desempenho da área de TI, a saber,

a alta administração da Agência;Demora na identificação de desconformidades na área de TI e na adoção de


15 de 27 25/5/2011 13:08

medidas saneadoras (efeito potencial).3.18.4 - Critérios:Norma Técnica - ITGI - Cobit 4.1, ME1.5 - Relatórios gerenciais;Norma Técnica - ITGI - Cobit 4.1, ME1.4 - Avaliar o desempenho;Norma Técnica - ITGI - Cobit 4.1, ME1.6 - Ações corretivas;Norma Técnica - ITGI - Cobit 4.1, ME2 - Monitorar e avaliar os controles internos.3.18.5 - Evidências:Resposta ao item 1.2 do questionário Perfil GovTI 2010 (Volume Principal - folha

4).3.18.6 - Esclarecimentos dos responsáveis:Durante a fase de execução desta auditoria, os gestores da Anatel apresentaram

os Relatórios de Gestão da Agência para os anos de 2008 e 2009, contendo apenas umindicador e meta para avaliar o atendimento de solicitações de serviços de manutenção desistemas da informação (Anexo 4 - Principal - folhas 35/57).

3.18.7 - Conclusão da equipe:Diante das ocorrências verificadas, entende-se que, embora a área de TI da

Anatel possua um indicador e meta para avaliar os serviços de manutenção dos seus sistemasde informação, não há suficiente avaliação da gestão de TI da Agência, vez que, afora aausência de acompanhamento pela alta administração, não foram definidos objetivos dedesempenho nem indicadores e metas suficientes para avaliar a atuação da área de TI deforma mais abrangente, incluindo suas diversas atribuições.


37, caput (princípio da eficiência), estabeleça um processo de avaliação da gestão de TI,observando as orientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho,ME1.5 Relatórios gerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controlesinternos.

3.19 - Irregularidades na contratação3.19.1 - Situação encontrada:Foram realizados testes substantivos de conformidade das contratações objeto do

Processo nº 53500.018861/2009, o qual originou os Termos de Registro de Preços nº 65/2009(fls. 615/638 do Anexo 2 - Volume 3) e 68/2009 (fls. 644/667 do Anexo 2 - Volume 3), doProcesso nº 53500.005360/2010, que originou o Termo de Registro de Preços nº 2/2010 (fls.760/775 do Anexo 2 - Volume 3), e do Processo nº 53500.018770/2009, nos quais foramconstatadas as seguintes impropriedades:

I - com relação aos Processos nº 53500.018861/2009 (aquisição de servidores,incluindo licenças de sistemas operacionais e de banco de dados necessários para a suaoperacionalização, bem como instalação, configuração, suporte, garantia de funcionamento por36 meses e assistência técnica "on-site") e 53500.005360/2010 (aquisição do Lote IVremanescente do Pregão Amplo nº 36/2009 - Processo nº 53500.018861/2009 -,correspondente a 55 novos servidores e 23 licenças de software SQL Server):

a) falha na estimativa dos custos globais:Para realizar a pesquisa de preços de mercado, a Anatel encaminhou

correspondências a diversos fornecedores, tendo obtido como resposta os resultadosconsolidados no Informe nº 130/2009/ADADF/ADAD (fls. 426/434 do Anexo 2 - Volume 2). Paraos lotes I, II e IV, por terem sido apresentadas mais de 3 propostas, optou a Unidade pordesconsiderar o maior e o menor valor ofertado para fins de cálculo da média aritmética. Comessa metodologia, foram obtidos os seguintes valores para cada um dos quatro lotes em que foidividida a licitação:

Lote I - Valor inicialmente estimado: R$ 1.857.770,48Lote II - Valor inicialmente estimado: R$ 1.861.135,85Lote III - Valor inicialmente estimado: R$ 1.759.019,74Lote IV - Valor inicialmente estimado: R$ 705.152,93Entretanto, para os lotes I e II, a autarquia promoveu a redução dos valores

inicialmente estimados, alegando que os mesmos apresentavam um sobrepreço deaproximadamente 40% em relação ao que se pratica no mercado, e que, em outras licitaçõespara aquisição de equipamentos de informática, existiram grandes diferenças entre os preços


16 de 27 25/5/2011 13:08

estimados para a licitação e os efetivamente apresentados no ato da sessão pública. Aduziu,ainda, que tal redução tornou mais precisa a estimativa de preços, que passou a ser de R$1.114.662,29 para o Lote I e de R$ 1.116.681,51 para o Lote II.

Apesar de a referida redução de preços ter se revelado de todo pertinente, vistoque foram apresentados pelas concorrentes valores inferiores a essa nova estimativa daAdministração, tendo sido o Lote I adquirido por R$ 669.000,00 e o Lote II por R$ 565.000,00(Informe nº 141/2009/ADADF - fls. 576/577 do Anexo 2 - Volume 2), consideramos quefaltaram nos autos as evidências necessárias para justificar os valores de referênciaefetivamente utilizados no certame, em inobservância ao princípio da motivação, pois deveria aAnatel ter feito constar do processo as fontes de pesquisa que demonstrariam o mencionadosobrepreço de 40% nas cotações originalmente apresentadas.

Tal providência, vale dizer, é mesmo uma obrigação legal, ante a necessidade deser realizada uma ampla pesquisa de mercado para se proceder ao registro de preços (art. 15,§ 1º, da Lei nº 8.666/93), o que naturalmente inclui contratações anteriores da própriaAdministração Pública.

b) falhas decorrentes da não submissão da Anatel à Lei nº 10.520/2002 e aoDecreto nº 5.450/2005:

Com base no disposto no art. 22, inc. II, da Lei nº 9.472/1997, que atribuiucompetência ao Conselho Diretor da Anatel para aprovar normas próprias de licitação econtratação, a Agência elaborou seu Regulamento de Contratações, aprovado por meio daResolução nº 5/1998.

Como efeito da aplicação desse Regulamento próprio e da não submissão daAgência à Lei nº 10.520/2002 e ao Decreto nº 5.450/2005, pode-se mencionar, no presentecertame, a ocorrência das seguintes impropriedades/irregularidades: ausência de justificativapara a não realização de Pregão Eletrônico e ilegalidade na adesão, por outrosórgãos/entidades, a Registro de Preços promovido pela Anatel.

Em virtude da complexidade do assunto e de o mesmo afetar todas ascontratações da Anatel, e não somente a ora em análise, optou-se por tratá-lo separadamente,tendo sido, para este fim, autuado o TC 025.251/2010-4, que trata de representação destaequipe de auditoria acerca de possíveis irregularidades no Regulamento de Contratações daAnatel, razão pela qual abstemo-nos de tecer comentários adicionais nestes autos.

II - com relação ao Processo nº 53500.018770/2009 (aquisição de 765microcomputadores desktop, incluindo instalação, configuração, suporte e garantia defuncionamento por 36 meses):

a) falha na estimativa dos custos unitários:Para proceder à contratação em apreço, a Anatel realizou: 1) pesquisa de

mercado, em maio de 2009, com as empresas Datagraphics, Itautec, Positivo e LTA-RH; 2)consulta ao Comprasnet, entre 29 de junho e 2 de julho de 2009, na qual foram identificadastrês Atas de Registro de Preços; e 3) consulta dos preços contidos em mais cinco Atas deRegistro de Preços, entre as quais foi selecionada, para adesão, a ata registrada, em13/11/2008, mediante o pregão eletrônico nº 72/2008, promovido pelo Centro Federal deEducação Tecnológica do Rio Grande do Norte (CEFET/RN), pelo valor unitário de R$ 1.712,81(fls. 941/1007 do Anexo 2 - Volume 4). O contrato foi assinado em novembro de 2009.

No entanto, em relação à pesquisa de mercado realizada, ao se comparar ascaracterísticas dos produtos cotados pelas empresas Datagraphics, Positivo e LTA-RH com osrequisitos do objeto da contratação, constantes do Termo de Referência nº 34/2009 (fls.915/938 do Anexo 2 - Volume 4), foram constatadas diversas incongruências, tais como:

1) caso os equipamentos apresentassem 1 slot tipo PCI Express x16 ocupado pelacontroladora de vídeo, o Termo de Referência exigia apenas 1 slot livre tipo PCI adicional (item3.3.2.2, fls. 919 do Anexo 2 -Volume 4). Todavia, os produtos cotados junto às empresasPositivo e LTA-RH apresentavam 2 slots livres tipo PCI adicionais (itens 3, fls. 951 e 961 doAnexo 2 - Volume 4);

2) o Termo de Referência exigia que os equipamentos possuíssem uma interfacecontroladora de vídeo com memória compartilhada e com suporte à resolução de 1024x768(item 3.3.4.3, fls. 920 do Anexo 2 - Volume 4). Não obstante, nos produtos cotados junto àsempresas Positivo e LTA-RH, não foram especificados requisitos quanto à possibilidade decompartilhamento da memória da interface controladora de vídeo, havendo previsão somente


17 de 27 25/5/2011 13:08

de suporte à resolução de 1280x1024 (itens 11, fls. 951-V e 961 do Anexo 2 - Volume 4);3) os equipamentos oferecidos, nas cotações realizadas com as empresas Positivo

e LTA-RH, possuíam 1 saída com conector DVI para monitor SVGA (itens 15, fls. 951-V e 961-Vdo Anexo 2 - Volume 4). Nas especificações do Termo de Referência, tal interface não eranecessária (item 3.3.4.9, fls. 921 do Anexo 2 - Volume 4);

4) os monitores exigidos no Termo de Referência deveriam ter 17'' (item 3.3.10.1,fls. 922 do Anexo 2 - Volume 4). Os equipamentos oferecidos pelas empresas Datagraphics,Positivo e LTA-RH possuíam monitores de 19'' (fls. 944-V do Anexo 2 - Volume 4 e itens 31 e 29,fls. 952 e 962 do Anexo 2 - Volume 4, respectivamente).

Adicionalmente, deve-se mencionar que: a) não constam dos autos ascaracterísticas dos produtos cotados pela empresa Itautec; e b) os equipamentos registradosem sete das oito atas consultadas, que fundamentaram a pesquisa de preços, também nãoguardavam estrita semelhança com as especificações do Termo de Referência nº 34/2009.

Constata-se que apenas a Ata de Registro de Preços decorrente do PregãoEletrônico nº 72/2008 do CEFET/RN, à qual a Anatel aderiu, era compatível com os requisitosconstantes daquele documento.

Portanto, considerando as diferenças identificadas entre os produtos constantes dapesquisa de mercado e as especificações do Termo de Referência, entende-se que não restoudemonstrada, adequadamente, a vantagem da contratação, em descumprimento ao art. 8º,caput, do Decreto nº 3.931/2001, não obstante os preços praticados estejam dentro dos valoresde mercado.

3.19.2 - Objetos nos quais o achado foi constatado:Processo (Autos) 53500.005360/2010 - Aquisição do Lote IV do Processo nº

53500.018861/2009, referente a 55 novos servidores e 23licenças de software SQL Server remanescentes do Pregão Amplo nº 36/2009;Processo (Autos) 53500.018770/2009 - Aquisição de 765 microcomputadores

desktop, incluindo instalação, configuração, suporte e garantia de funcionamento por 36 meses;Processo (Autos) 53500.018861/2009 - Aquisição de servidores, incluindo licenças

de sistemas operacionais e de banco de dados necessários para a sua operacionalização, bemcomo instalação, configuração, suporte, garantia de funcionamento por 36 meses e assistênciatécnica "on-site".

3.19.3 - Critérios:Decreto 3931/2001, art. 8º, caput;Instrução Normativa 4/2008, SLTI/MPOG, art. 14, caput, e art. 15;Lei 8666/1993, art. 15, inciso V e § 1º, art. 38, inciso XII, e art. 40, § 2º, inciso II.3.19.4 - Evidências:Termo de Registro de Preços nº 65/2009 (Anexo 2 - Volume 3 - folhas 615/638);Termo de Registro de Preços nº 68/2009 (Anexo 2 - Volume 3 - folhas 644/667);Termo de Registro de Preços nº 2/2010 (Anexo 2 - Volume 3 - folhas 760/775);Informe nº 130/2009/ADADF/ADAD (Anexo 2 - Volume 2 - folhas 426/434);Informe nº 141/2009/ADADF (Anexo 2 - Volume 2 - folhas 576/577);Termo de Referência nº 34/2009 (Anexo 2 - Volume 4 - folhas 915/938);Pesquisa de preços do Processo nº 53500.018770/2009 (Anexo 2 - Volume 4 -

folhas 941/1007).3.19.5 - Conclusão da equipe:A partir dos testes substantivos de conformidade de contratações realizados nos

Processos nº 53500.018861/2009, 53500.005360/2010 e 53500.018770/2009, entende-se quenão foi demonstrado, no âmbito dos processos analisados, que a fase antecedente àcontratação tenha sido devidamente realizada.

Especificamente quanto aos Processos nº 53500.018861/2009 e53500.005360/2010, a equipe concluiu que não restaram evidenciados nos autos documentosque justificassem adequadamente a estimativa de preços adotada para os Lotes I e II, eminobservância ao princípio da motivação e ao art. 15, inc. V e § 1º, c/c os arts. 38, inc. XII, e40, § 2º, inc. II, todos da Lei nº 8.666/1993. Cabe ressaltar, entretanto, que é prática salutarde órgãos e entidades públicos a elaboração de orçamentos precisos, por meio da ampliaçãodas suas fontes de pesquisa de preços e avaliação de propostas de eventuais fornecedores eprestadores de serviço, bastando, para tanto, a sua evidenciação nos autos.


18 de 27 25/5/2011 13:08

Por fim, com relação ao Processo nº 53500.018770/2009, verificou-se que,embora o preço praticado aparentemente esteja dentro do valor de mercado, não houvecompatibilidade entre os produtos constantes da pesquisa de preços realizada e osequipamentos adquiridos, não sendo possível demonstrar a vantagem na contratação, emdescumprimento ao art. 8º, caput, do Decreto nº 3.931/2001. Cumpre enfatizar que, por setratar de bens de informática, sujeitos a expressiva depreciação ao longo do tempo, seria aindamais relevante a realização de precisa e ampla pesquisa de preços, haja vista que a ata à qualaderiu a agência havia sido registrada quase um ano antes.

3.19.6 - Proposta de encaminhamento:Alertar a Anatel que:a) no âmbito dos Processos nº 53500.018861/2009 e 53500.005360/2010, não há

evidências suficientes que embasem o orçamento estimado pela Administração, em afronta aoprincípio da motivação e ao art. 15, inc. V e § 1º, c/c os artigos 38, inc. XII, e 40, § 2º, inc. II,todos da Lei nº 8.666/1993;

b) no âmbito do Processo nº 53500.018770/2009, a pesquisa de preços realizadanão comprova devidamente a vantagem da contratação efetuada, visto que realizada comequipamentos de configuração diversa dos adquiridos, em inobservância ao art. 8º, caput, doDecreto nº 3.931/2001.

3.20 - Irregularidades na gestão contratual3.20.1 - Situação encontrada:Foram realizados testes substantivos no processo de execução e pagamento

relativo ao Contrato nº 52/2008 (fls. 2/29 do Anexo 3 - Principal), com o objetivo de avaliar suaaderência à legislação, tendo sido constatadas as seguintes impropriedades:

a) descumprimento das regras previstas no contrato:O Anexo I ao Contrato nº 52/2008 estabeleceu um Modelo de Ordem de Serviço -

OS, o qual deveria ser preenchido com o objetivo de solicitar o início da execução de todo equalquer serviço a ser entregue pela Contratada, conforme previsto no item 9.1 do aludidoContrato.

Entretanto, cotejando-se as Ordens de Serviço emitidas, observa-se que não hápadronização, visto que diversas delas diferem do Modelo proposto pelo Anexo I do Contrato,em descumprimento ao art. 66 da Lei nº 8.666/93.

Em algumas dessas OS, foi omitido o campo onde deveria constar a data do InícioReal e do Término Real do projeto. Em outras, tal campo existe, mas não está preenchido. Taisinformações são de fundamental importância para o acompanhamento da execução dosprojetos e para a certificação do cumprimento dos prazos estabelecidos.

b) falha na prorrogação:A cláusula quarta do primeiro aditivo ao Contrato nº 52/2008 alterou,

indevidamente, o item 24.5 do instrumento, ao invés do 22.5. Tais dispositivos, inicialmente,estabeleciam:

"22.5. O número deste Contrato deverá estar especificado em todos osdocumentos de cobrança ou em algum anexo a estes.

(...)24.5. A sanção estabelecida na alínea d do subitem 24.1 é de competência

exclusiva do Ministro de Estado, facultada a defesa do interessado no respectivo processo, noprazo de 10 (dez) dias da abertura de vista, podendo a reabilitação ser requerida após 2 (dois)anos de sua aplicação".

Com a alteração, passou o item 24.5 a dispor:"24.5. Na nota fiscal ou fatura mensal, ou em algum dos seus anexos, deverá

constar o número do presente contrato, bem como deverá ser acompanhada pelos documentosdiscriminados no Anexo I deste instrumento contratual".

Pelo exposto, resta assente que a intenção das partes era promover a alteraçãodo item 22.5, tendo havido erro formal, que prejudica a clareza do ajuste, em descumprimentoao art. 54, § 1º, da Lei nº 8.666/93.

3.20.2 - Objetos nos quais o achado foi constatado:Contrato 52/2008 - Prestação de serviços técnicos especializados de tecnologia da

informação (Fábrica de Projetos).3.20.3 - Critérios:


19 de 27 25/5/2011 13:08

Lei 8666/1993, art. 54, § 1º, e art. 66.3.20.4 - Evidências:Contrato nº 52/2008 (Anexo 3 - Principal - folhas 2/29).3.20.5 - Conclusão da equipe:A partir dos testes substantivos realizados no processo de execução e pagamento

referente ao Contrato nº 52/2008, entende-se que as Ordens de Serviço emitidas nãoapresentavam todas as informações constantes do modelo previsto no Anexo I do Contrato, eminobservância ao art. 66 da Lei nº 8.666/93, prejudicando a sua execução e controle.

Além disso, na cláusula quarta do primeiro termo aditivo à avença, houvereferência indevida ao item 24.5, interferindo na clareza e precisão do ajuste, emdescumprimento ao art. 54, § 1º, da Lei nº 8.666/93.

3.20.6 - Proposta de encaminhamento:Alertar a Anatel quanto à:a) falta de padronização no preenchimento das Ordens de Serviço do Contrato nº

52/2008, que não apresentam todas as informações contidas no Modelo proposto no Anexo I doaludido instrumento, prejudicando o efetivo controle da execução dos projetos e afrontando oart. 66 da Lei nº 8.666/93;

b) referência indevida ao item 24.5 do Contrato nº 52/2008 na cláusula quarta doPrimeiro Termo Aditivo ao referido instrumento, em inobservância ao art. 54, § 1º, da Lei nº8.666/93.

4 - CONCLUSÃONão foram constatadas impropriedades ou irregularidades para a questão de

auditoria nº 4 formulada para esta fiscalização.As seguintes constatações foram identificadas neste trabalho:Questão 1 Falhas no Plano Estratégico Institucional (item 3.1)Falhas no processo de Planejamento Estratégico Institucional (item 3.2)Questão 2 Falhas no PDTI (item 3.3)Falhas no processo de planejamento de TI (item 3.4)Questão 3 Inexistência de comitê de TI (item 3.5)Falhas na avaliação do quadro de pessoal de TI (item 3.6)Questão 5 Falhas no processo de software (item 3.7)Questão 6 Inexistência de processo de gerenciamento de projetos (item 3.8)Questão 7 Inexistência do processo de gestão de incidentes (item 3.9)Inexistência do processo de gestão de mudanças (item 3.10)Inexistência do processo de gestão de configuração (item 3.11)Questão 8 Inexistência de Política de Segurança da Informação e Comunicações

(POSIC) (item 3.12) Inexistência de classificação da informação (item 3.13)Inexistência de inventário dos ativos de informação (item 3.14)Inexistência de equipe de tratamento e resposta a incidentes em redes

computacionais (ETRI) (item 3.15)Inexistência de processo de gestão de riscos de segurança da informação (GRSIC)

(item 3.16)Questão 9 Ausência da área de gestão de TI no plano anual de capacitação (item

3.17)Questão 10 Inexistência de avaliação da gestão de TI (item 3.18)Questão 11 Irregularidades na contratação (item 3.19)Questão 12 Irregularidades na gestão contratual (item 3.20)Entre os benefícios estimados desta fiscalização, pode-se mencionar,

principalmente, a indução à melhoria dos controles internos e da governança de TI na Anatel,cujas deficiências foram evidenciadas pelas falhas e impropriedades identificadas e relatadasneste processo.

No tocante à governança e controles gerais de tecnologia da informação,merecem destaque as falhas relacionadas ao planejamento estratégico de TI e à organizaçãodesse setor, bem como à inexistência de elementos básicos relacionados a processos de TI, taiscomo o gerenciamento de projetos e a gestão de serviços e de segurança da informação.

Com relação ao planejamento estratégico de TI, houve desconformidades entre aresposta da Anatel ao item 2.3 do Questionário Perfil GovTI 2010 e a situação verificada pela


20 de 27 25/5/2011 13:08

equipe de auditoria. Além disso, verificou-se risco potencial de que as ações desse setor nãoestejam alinhadas com os objetivos gerais da entidade, definidos em seu planejamentoestratégico institucional, vez que sua elaboração ocorreu dentro da própria área de TI, nãohavendo participação, em grau de igualdade, das principais áreas de negócio da Anatel, nadefinição de diretrizes e prioridades na utilização dos recursos de tecnologia da informação.

Quanto à organização envolvendo TI na Anatel, ponto fundamental é ainexistência de um comitê de tecnologia da informação, formado por membros das principaisáreas de negócio da Agência e por representantes da área de TI, com a finalidade de tomardecisões acerca da gestão e uso dos recursos de tecnologia da informação no âmbito damesma, bem como de elaborar o PDTI da entidade. Tal fato demonstra a desconformidadeentre as respostas assinaladas pela Agência aos itens 1.1 e 2.4 do Questionário Perfil GovTI2010 e a situação verificada pela equipe de auditoria. Ademais, os riscos inerentes a tal falhaestão associados à possibilidade da ocorrência de sobreposição de ações de TI e de priorizaçãoinadequada destas, em virtude da ausência de participação das principais áreas de negócio dainstituição.

Também ficaram caracterizados, com base em estudos quantitativos de recursoshumanos realizados pela própria Anatel, a patente dependência de serviços de TI prestados porempresas terceirizadas e o risco da indisponibilidade dos perfis profissionais de TI necessários,ante a inexistência de levantamento qualitativo, capaz de informar, entre os cargos eespecialidades pertencentes aos servidores da Agência, quais deveriam ser demandados para osuprimento do déficit quantitativo de pessoal.

Em relação aos processos de tecnologia da informação, a inexistência degerenciamento de projetos de TI aponta uma desconformidade entre a resposta da Agência aoitem 7.4 do Questionário Perfil GovTI 2010 e a situação encontrada pela equipe de auditoria. Talfalha, juntamente à ausência de gestão de serviços, configura fator de risco para a eficácia,eficiência e efetividade na utilização dos recursos de tecnologia da informação na Anatel, emvirtude da probabilidade de ocorrência de uma série de fatores negativos associados a taisfalhas, tais como: 1) falta de estrutura na gestão de projetos, com definição de papéis,responsabilidades e tarefas processuais necessárias para a sua conclusão; 2) incidentes sem odevido gerenciamento, bem como o risco de paralisação dos serviços de TI e,consequentemente, das atividades da Agência dependentes de tais serviços; 3) ausência deavaliação do impacto de eventuais mudanças nos recursos de TI, assim como solicitações demudanças não controladas; e 4) desatualização ou deficiência da configuração de TI.

Outrossim, a gestão da segurança da informação é praticamente ausente naAnatel, vez que, embora haja uma recém-criada comissão de segurança da informação, suastarefas se encontram, ainda, em estágio inicial, com a elaboração de uma política de segurançada informação (POSIC). Assim, tendo em vista a atual inexistência desta, bem como de outroselementos essenciais para a efetiva implementação de uma gestão de segurança da informaçãona Agência, tais como critérios de classificação das informações sob responsabilidade daAutarquia, inventário de seus ativos da informação, equipe de tratamento e resposta aincidentes em redes computacionais (ETRI) e gestão de riscos de segurança da informação(GRSIC), restaram configuradas deficiências relativas: 1) aos procedimentos de segurança dainformação na entidade; 2) aos critérios de divulgação das informações; 3) à recuperação dosativos de informação; 4) às notificações e atividades relacionadas a incidentes de segurança emredes computacionais; e 5) ao tratamento das ameaças à segurança da informação e seusrespectivos impactos.

Adicionalmente, quanto à capacitação dos profissionais de TI da Anatel, foramverificadas desconformidades na resposta da Agência ao item 6.3 do Questionário Perfil GovTI2010 e a situação constatada pela equipe de auditoria, em virtude da ausência de cursos eeventos de gestão em TI no plano anual de capacitação da entidade.

Quanto à monitoração do desempenho da gestão e uso da TI, houvedesconformidade na resposta da Anatel ao item 1.2 do Questionário Perfil GovTI 2010 e asituação verificada pela equipe de auditoria, visto não haver suficiente avaliação da gestão deTI na Agência, vez que não foram definidos objetivos de desempenho, nem indicadores e metascapazes de avaliar a atuação da área de TI de forma mais abrangente, que incluam suasdiversas atribuições.

Como forma de se apurar, concomitantemente à fase de execução da auditoria, os


21 de 27 25/5/2011 13:08

efeitos decorrentes das falhas verificadas nos controles da Anatel, fez parte do escopo destetrabalho a fiscalização de contratos da Agência, sob os aspectos de conformidade do processode contratação e da gestão contratual. Merecem destaque as falhas referentes à pesquisa depreços. Além disso, cabe mencionar que, diante da controvérsia instaurada acerca dapossibilidade de a Agência adotar, ou não, normas próprias de licitação para a modalidadepregão, entendeu-se necessária a análise de tal assunto em processo de representaçãoapartado, com vistas à apuração dos fatos.

Por fim, registra-se que o presente trabalho fez parte de um diagnóstico da gestãoe uso de TI nos entes públicos e que os fatos aqui relatados serão considerados em conjuntocom as conclusões das demais fiscalizações de controles gerais de TI, realizadas no âmbito dafiscalização consolidadora desta FOC (Fiscalis nº 471/2010)."

3. Dessa forma, a Secex-1, em pareceres uniformes (fls. 79/83), sugeriu a estaCorte:

"I - Determinar, com fulcro no art. 43, inc. I, da Lei nº 8.443/1992, à AgênciaNacional de Telecomunicações (ANATEL) que:

1) em atenção às disposições contidas no Decreto-Lei nº 200/67, art. 6º, inciso I,e na Instrução Normativa nº 04/2008 - SLTI/MPOG, art. 3º, aperfeiçoe o processo dePlanejamento Estratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação -PDTI esteja em conformidade com as diretrizes constantes na Instrução Normativa nº 04/2008-SLTI/MPOG, art. 4º, III, e as práticas contidas no Cobit 4.1, processo PO1 - PlanejamentoEstratégico de TI (item 3.3);

2) em atenção ao disposto na Instrução Normativa nº 04/2008 - SLTI/MPOG, art.4º, IV, implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Agênciae que se responsabilize por alinhar os investimentos de Tecnologia da Informação com osobjetivos institucionais e por apoiar a priorização de projetos a serem implantados,considerando ainda as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 -Comitê diretor de TI (item 3.5);

3) em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º,VII, implante Política de Segurança da Informação e Comunicações, observando as práticascontidas na Norma Complementar 03/IN01/DSIC/GSIPR (item 3.12);

4) em atenção ao disposto no Decreto nº 4553/2002, art. 6º, § 2º, inciso II, e art.67, crie critérios de classificação das informações a fim de que possam ter tratamentodiferenciado conforme seu grau de importância, criticidade e sensibilidade, observando aspráticas contidas no item 7.2 da NBR ISO/IEC 27.002 (item 3.13);

5) em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º,VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento deinventário de ativos de informação, de maneira que todos os ativos de informação sejaminventariados e tenham um proprietário responsável, observando as práticas contidas no item7.1 da NBR ISO/IEC 27.002 (item 3.14);

6) em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º, V,institua equipe de tratamento e resposta a incidentes em redes computacionais, observando aspráticas contidas na Norma Complementar 05/IN01/DSIC/GSIPR (item 3.15);

7) em atenção ao disposto na Instrução Normativa GSI/PR nº 01/2008, art. 5º,VII, c/c a Norma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão deriscos de segurança da informação (item 3.16);

8) no prazo de 30 (trinta) dias a contar da ciência do Acórdão que vier a serproferido nestes autos, encaminhe plano de ação para a implementação das medidas contidasno Decisum, contendo:

a) para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelodesenvolvimento das ações;

b) para cada recomendação, cuja implementação seja considerada conveniente eoportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

c) para cada recomendação cuja implementação não seja considerada convenienteou oportuna, justificativa da decisão;

II - Recomendar à Agência Nacional de Telecomunicações (ANATEL) que, ematenção ao disposto na Constituição Federal, art. 37, caput (princípio da eficiência):

1) aperfeiçoe, em consonância com o art. 6º, inc. I, e o art. 7º do Decreto Lei nº


22 de 27 25/5/2011 13:08

200/67, seu Processo de Planejamento Estratégico Institucional, considerando o disposto nocritério de avaliação nº 2 da Gespública (itens 3.1 e 3.2);

2) aperfeiçoe seu processo de Planejamento Estratégico de TI, observando aspráticas contidas no Cobit 4.1, processo PO1 - Planejamento Estratégico de TI (item 3.4);

3) aperfeiçoe, em consonância com o art. 1º, inc. III, do Decreto nº 5.707/2006,o estudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas afundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivosdevidamente qualificados, objetivando o melhor atendimento das necessidades institucionais,em observância às práticas contidas no Cobit 4.1, PO4.12 - Pessoal de TI (item 3.6);

4) aprove e publique o seu processo de desenvolvimento de software, com vistasa assegurar a aderência das rotinas de trabalho da área de TI ao processo definido pela própriaAgência, em observância aos níveis de capacidade/maturidade definidos na ABNT NBR ISO/IEC15.504 (item 3.7);

5) implante uma estrutura formal de gerência de projetos, observando asorientações contidas no Cobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos, e noPMBOK, dentre outras boas práticas de mercado (item 3.8);

6) implemente processo de gestão de incidentes de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS8 - Gerenciar acentral de serviços e incidentes, e de outras boas práticas de mercado, como aquelas indicadasna NBR ISO/IEC 20000 e na NBR 27002 (item 3.9);

7) estabeleça procedimentos formais de gestão de mudanças, de acordo com oprevisto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas noCobit 4.1, processo AI6 - Gerenciar mudanças, e de outras boas práticas de mercado, comoaquelas indicadas na NBR ISO/IEC 20000 (item 3.10);

8) implemente processo de gestão de configuração de serviços de tecnologia dainformação, à semelhança das orientações contidas no Cobit 4.1, processo DS9 - Gerenciarconfiguração, e de outras boas práticas de mercado, como aquelas indicadas na NBR ISO/IEC20000 (item 3.11);

9) quando elaborar o próximo Plano Anual de Capacitação, contemple ações decapacitação voltadas para a gestão de tecnologia da informação, observando as práticascontidas no Cobit 4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento doPessoal (item 3.17);

10) estabeleça um processo de avaliação da gestão de TI, observando asorientações contidas no Cobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatóriosgerenciais, ME1.6 - Ações corretivas e ME2 - Monitorar e avaliar os controles internos (item3.18);

III - Alertar a Agência Nacional de Telecomunicações (ANATEL) quanto àsseguintes impropriedades constatadas na presente fiscalização:

1) no âmbito dos Processos nº 53500.018861/2009 e 53500.005360/2010, não háevidências suficientes que embasem o orçamento estimado pela Administração, em afronta aoprincípio da motivação e ao art. 15, inc. V e § 1º, c/c os arts, 38, inc. XII, e 40, § 2º, inc. II,todos da Lei nº 8.666/1993 (item 3.19);

2) no âmbito do Processo nº 53500.018770/2009, a pesquisa de preços realizadanão comprova devidamente a vantagem da contratação efetuada, visto que realizada comequipamentos de configuração diversa dos adquiridos, em inobservância ao art. 8º, caput, doDecreto nº 3.931/2001 (item 3.19);

3) foi constatada falta de padronização no preenchimento das Ordens de Serviçodo Contrato nº 52/2008, as quais não apresentam todas as informações contidas no Modeloproposto no Anexo I do aludido instrumento, prejudicando o efetivo controle da execução dosprojetos e afrontando o art. 66 da Lei nº 8.666/93 (item 3.20);

4) houve referência indevida ao item 24.5 do Contrato nº 52/2008 na cláusulaquarta do Primeiro Termo Aditivo ao referido instrumento, em inobservância ao art. 54, § 1º,da Lei nº 8.666/93 (item 3.20)."

É o Relatório

Voto do Ministro Relator

VOTO


23 de 27 25/5/2011 13:08

Na sessão de 8/9/2010 (acórdão 2.308/2010 - Plenário), apresentei a estecolegiado o resultado consolidado do levantamento efetuado pela Secretaria de Fiscalização deTecnologia da Informação - Sefti, em 2010, para avaliar a governança de tecnologia dainformação em 315 órgãos e entidades das administrações direta e indireta dos três poderes daUnião.

2. Destaquei, naquela oportunidade, a importância da atuação desta Corte comrelação à matéria, que, a partir da identificação de pontos vulneráveis, será possível aoTribunal, em primeiro lugar, atuar como indutor do aperfeiçoamento da governança de TI nosetor público e, em segundo lugar, identificar e disseminar entre as unidades jurisdicionadas osbons exemplos e modelos identificados.

3. Apontei, ainda, as conclusões mais significativas do levantamento, que permitiuconstatar, em síntese, que:

a) mais de 60% das organizações não possui planejamento estratégico de TI;b) algumas organizações continuam a ter sua TI totalmente controlada por

pessoas estranhas a seus quadros de pessoal;c) são graves os problemas de segurança da informação, já que informações

críticas não são protegidas adequadamente;d) metade das organizações não possui método ou processo para desenvolvimento

de softwares e para aquisição de bens e serviços de informática, o que gera riscos deirregularidades em contratações;

e) a atuação sistemática da alta administração com respeito à TI ainda éincipiente;

f) mais da metade das organizações está no estágio inicial de governança de TI, eapenas 5% encontram-se em estágio aprimorado.

4. Neste momento, trago à consideração deste Plenário mais um trabalhoconcernente à matéria: a auditoria realizada pela Secex/1 na Anatel com o intuito de avaliarcontroles gerais de governança de TI naquela agência.

5. As principais ocorrências detectadas no presente trabalho assemelham-se àsverificadas no levantamento consolidada e confirmam a precisão daquele estudo. Basicamente,constatou-se na Agência:

a) falhas no Plano Estratégico Institucional;b) falhas no processo de Planejamento Estratégico Institucional;c) falhas no Plano Diretor de Tecnologia da Informação (PDTI);d) falhas no processo de planejamento de TI;e) falhas na avaliação do quadro de pessoal de TI;f) inexistência de comitê de TI;g) falhas no processo de desenvolvimento de software;h) inexistência de processo de gerenciamento de projetos de TI;i) inexistência do processo de gestão de configuração de serviços de TI;j) inexistência do processo de gestão de incidentes de TI;k) inexistência do processo de gestão de mudanças;l) inexistência de equipe de tratamento e resposta a incidentes em redes

computacionais;m) inexistência de Política de Segurança da Informação e Comunicações;n) inexistência de processo de gestão de riscos de segurança da informação;o) inexistência de avaliação da gestão de TI pela alta administração;p) irregularidades em contratações;q) irregularidades na gestão contratual.6. Constatou-se, assim, que a tecnologia da informação na Anatel apresenta

grandes deficiências, que terminam por acarretar prejuízos às atividades típicas, às atividadesadministrativas e às aquisições de TI daquela entidade.

7. Dessa forma, a Secex-1 apresentou uma série de determinações,recomendações e alertas que contribuirão para saneamento das ocorrências detectadas e paraaperfeiçoamento da governança de TI da Agência.

8. Assim, por considerar papel deste Tribunal a constante indução de melhoria dagestão estatal e por estar integralmente de acordo com as medidas aventadas pela Secex-1 -especialmente no tocante ao crucial tema da segurança da informação, que reputo essencial


24 de 27 25/5/2011 13:08

para adequado funcionamento das organizações públicas e para defesa da intimidade doscidadãos que com elas interagem - acolho as manifestações daquela Secretaria e voto pelaadoção da minuta de acórdão que trago ao escrutínio deste colegiado.

Sala das Sessões, em 23 de fevereiro de 2011.AROLDO CEDRAZRelator

Acórdão

VISTOS, relatados e discutidos estes autos de relatório de auditoria realizada paraavaliar controles gerais de tecnologia da informação na Agência Nacional de Telecomunicações -Anatel.

ACORDAM os Ministros do Tribunal de Contas da União, reunidos em sessão doPlenário, ante as razões expostas pelo relator e com base nos arts. 42, §1º, e 43, I, da Lei8.443/1992, e nos arts. 245, §1º, e 250, inciso III, do Regimento Interno, em:

9.1. determinar à Anatel que:9.1.1. em atenção ao Decreto-Lei 200/1967, art. 6º, inciso I, e à Instrução

Normativa SLTI/MPOG 04/2008, art. 3º, aperfeiçoe o processo de Planejamento Estratégico deTI, de maneira a que o Plano Diretor de Tecnologia da Informação - PDTI esteja emconformidade com as diretrizes da Instrução Normativa SLTI/MPOG 04/2008, art. 4º, III, e comas práticas do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI;

9.1.2. em atenção à Instrução Normativa SLTI/MPOG 04/2008, art. 4º, IV,implante Comitê de Tecnologia da Informação que envolva as diversas áreas da Agência e quese responsabilize por alinhar os investimentos de Tecnologia da Informação com os objetivosinstitucionais e por apoiar a priorização de projetos a serem implantados, considerando, ainda,as diretrizes do Cobit 4.1, PO4.2 - Comitê estratégico de TI e PO4.3 - Comitê diretor de TI;

9.1.3. em atenção à Instrução Normativa GSI/PR 01/2008, art. 5º, VII, implantePolítica de Segurança da Informação e Comunicações, observando as práticas da NormaComplementar 03/IN01/DSIC/GSIPR;

9.1.4. em atenção ao Decreto 4.553/2002, art. 6º, § 2º, II, e art. 67, crie critériosde classificação de informações, a fim de que possam ter tratamento diferenciado conforme seugrau de importância, criticidade e sensibilidade, com observância das práticas contidas no item7.2 da NBR ISO/IEC 27.002;

9.1.5. em atenção à Instrução Normativa GSI/PR 01/2008, art. 5º, VII, c/c aNorma Complementar 04/IN01/DSIC/GSIPR, item 5.2.1, estabeleça procedimento deinventário de ativos de informação, de maneira a que todos os ativos de informação sejaminventariados e tenham um proprietário responsável, com observância das práticas contidas noitem 7.1 da NBR ISO/IEC 27.002;

9.1.6. em atenção à Instrução Normativa GSI/PR 01/2008, art. 5º, V, instituaequipe de tratamento e resposta a incidentes em redes computacionais, com observância daspráticas da Norma Complementar 05/IN01/DSIC/GSIPR;

9.1.7. em atenção à Instrução Normativa GSI/PR 01/2008, art. 5º, VII, c/c aNorma Complementar 04/IN01/DSIC/GSIPR, implemente processo de gestão de riscos desegurança da informação;

9.1.8. no prazo de 30 (trinta) dias a contar da ciência deste acórdão, encaminheplano de ação para a implementação das medidas aqui contidas, com:

a) para cada determinação, o prazo e o responsável (nome, cargo e CPF) pelodesenvolvimento das ações;

b) para cada recomendação cuja implementação seja considerada conveniente eoportuna, o prazo e o responsável (nome, cargo e CPF) pelo desenvolvimento das ações;

c) para cada recomendação cuja implementação não seja considerada convenienteou oportuna, justificativa da decisão;

9.2. recomendar à Anatel que, em atenção ao princípio da eficiência:9.2.1. aperfeiçoe, em consonância com os arts. 6º, I, e 7º do Decreto Lei

200/1967, seu processo de Planejamento Estratégico Institucional, considerando o critério deavaliação 2 da Gespública;

9.2.2. aprimore seu processo de Planejamento Estratégico de TI, com observânciadas práticas do Cobit 4.1, processo PO1 - Planejamento Estratégico de TI;


25 de 27 25/5/2011 13:08

9.2.3. aperfeiçoe, em consonância com o art. 1º, III, do Decreto 5.707/2006, oestudo técnico de avaliação qualitativa e quantitativa do quadro da área de TI, com vistas afundamentar futuros pleitos de ampliação e preenchimento de vagas de servidores efetivosdevidamente qualificados, de forma a melhor atender às necessidades institucionais, emobservância às práticas do Cobit 4.1, PO4.12 - Pessoal de TI;

9.2.4. aprove e publique seu processo de desenvolvimento de software, comvistas a assegurar a aderência das rotinas de trabalho da área de TI ao processo definido pelaprópria Agência, em observância aos níveis de capacidade/maturidade definidos na ABNT NBRISO/IEC 15.504;

9.2.5. implante estrutura formal de gerência de projetos, com observância doCobit 4.1, processo PO10.2 - Estruturas de Gerência de Projetos, e no PMBOK, entre outrasboas práticas de mercado;

9.2.6. implemente processo de gestão de incidentes de serviços de tecnologia dainformação, à semelhança do Cobit 4.1, processo DS8 - Gerenciar a central de serviços eincidentes, e de outras boas práticas de mercado, como aquelas indicadas na NBR ISO/IEC20000 e na NBR 27002;

9.2.7. estabeleça procedimentos formais de gestão de mudanças, de acordo como item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança do Cobit 4.1, processo AI6 -Gerenciar mudanças, e de outras boas práticas de mercado, como aquelas indicadas na NBRISO/IEC 20000;

9.2.8. implemente processo de gestão de configuração de serviços de tecnologiada informação, à semelhança do Cobit 4.1, processo DS9 - Gerenciar configuração, e de outrasboas práticas de mercado, como aquelas indicadas na NBR ISO/IEC 20000;

9.2.9. quando elaborar o próximo Plano Anual de Capacitação, contemple açõesde capacitação voltadas para gestão de tecnologia da informação, com observância do Cobit4.1, processos PO7.2 - Competências Pessoais e PO7.4 - Treinamento do Pessoal;

9.2.10. estabeleça processo de avaliação da gestão de TI, com observância doCobit 4.1, itens ME1.4 - Avaliação de desempenho, ME1.5 Relatórios gerenciais, ME1.6 - Açõescorretivas e ME2 - Monitorar e avaliar os controles internos;

9.3. alertar a Anatel acerca das seguintes impropriedades:9.3.1. nos processos 53500.018861/2009 e 53500.005360/2010, não há evidências

suficientes que embasem o orçamento estimado pela Administração, em afronta ao princípio damotivação e ao art. 15, V e § 1º, c/c os arts, 38, XII, e 40, § 2º, II, da Lei 8.666/1993;

9.3.2. no processo 53500.018770/2009, a pesquisa de preços realizada nãocomprova devidamente a vantagem da contratação efetuada, visto que foi realizada comequipamentos de configuração diversa dos adquiridos, em inobservância ao art. 8º, caput, doDecreto 3.931/2001;

9.3.3. foi constatada falta de padronização no preenchimento das ordens deserviço do contrato 52/2008, que não apresentam todas as informações contidas no modeloproposto no anexo I do aludido instrumento, o que prejudica o efetivo controle da execução dosprojetos e afronta o art. 66 da Lei 8.666/1993;

9.3.4. houve referência indevida ao item 24.5 do contrato 52/2008 na cláusulaquarta do Primeiro Termo Aditivo ao referido instrumento, em inobservância ao art. 54, § 1º,da Lei 8.666/1993

Quorum

13.1. Ministros presentes: Benjamin Zymler (Presidente), Valmir Campelo, WaltonAlencar Rodrigues, Ubiratan Aguiar, Augusto Nardes, Aroldo Cedraz (Relator), RaimundoCarreiro, José Jorge e José Múcio Monteiro.

13.2. Ministros-Substitutos presentes: Augusto Sherman Cavalcanti, MarcosBemquerer Costa e André Luís de Carvalho

Publicação

Ata 06/2011 - PlenárioSessão 23/02/2011Dou 17/03/2011


26 de 27 25/5/2011 13:08

Anterior | Próximo

Referências (HTML)

Documento(s):judoc/Acord/20110321/AC_0465_06_11_P.doc

Status do Documento na Coletânea: [Não Selecionado] Coletânea

Voltar à lista de documentos

Em caso de dúvidas, críticas e sugestões, favor entrar em contato: Jurisprudência Requisição atendida em 0.617 segundo(s).


27 de 27 25/5/2011 13:08